Sincronización de hash de contraseña (PHS) de Azure AD – informaticamadridmayor

por | Mar 18, 2022 | Admin

Con Azure AD Connect, puede sincronizar datos de su Active Directory local con Azure AD. La sincronización de contraseñas está habilitada de forma predeterminada al configurar AD Connect. Esto permite a los usuarios de AD locales usar un solo inicio de sesión para autenticarse en los servicios en la nube de Microsoft Azure.

Las contraseñas de usuario en Windows Active Directory no se almacenan en texto claro. Se almacenan como un hash que se genera a partir de la contraseña utilizando el algoritmo hash basado en SHA256.

Nota. Esto significa que no es posible obtener la contraseña de texto claro de un usuario de AD de la base de datos ntds.dit. Solo está disponible el hash de la contraseña.

Para mayor seguridad, los hash de contraseña se cifran en tránsito a Azure AD (mediante SSL/TLS). En una infraestructura de AD saludable, la contraseña del usuario se sincroniza con Azure AD cada 2 minutos. Si cambia su contraseña en AD local, estará en Azure en dos minutos.

Para configurar la sincronización con el arrendatario de Azure AD y Active Directory local, debe descargar e instalar AzureADConnect.

Insinuación. AzureADConnect reemplaza a DirSync que se usaba anteriormente para la sincronización.

Requisitos para el servidor en el que está instalado AzureADConnect:

  • Windows Server 2012 R2 o posterior;
  • .NET Framework 4.5;
  • Disponibilidad para acceder a Azure y dirección IP pública estática;
  • No se recomienda instalar AzureADConnect en controladores de dominio o servidores ADFS.
  1. Descarga y ejecuta el AzureADConnect.msi;
  2. Aceptar el acuerdo de licencia;
  3. Puedes usar Rápido instalación (recomendado), o personalice el parámetro de instalación presionando el botón personalizar botón. En el modo Personalizar, puede cambiar el directorio de instalación, especificar el servidor SQL (de manera predeterminada, se instala una instancia local de SQL Server Express, la base de datos de Azure AD Sync se almacena en el directorio C:Program FilesMicrosoft Azure AD Sync), seleccione una cuenta de servicio para el servicio de sincronización de Microsoft Azure AD, cambie los permisos de sincronización del directorio);
  4. Seleccione el método de inicio de sesión único: Sincronización de contraseña;
    sincronización de hash de contraseña azul
  5. Especifique las credenciales de una cuenta de Azure con Administrador global permisos para conectarse al inquilino; Nota. Microsoft recomienda usar una cuenta con el sufijo UPN inquilino.onmicrosoft.com, con una contraseña permanente y sin Multi-Factor Authentication (MFA). Si la contraseña de esta cuenta caduca en Azure AD, la sincronización de Azure AD Connect se interrumpirá.
    habilitar la sincronización de hash de contraseña
  6. A continuación, se especifica la cuenta de usuario con permisos de administrador de empresa en Active Directory local;
    sincronización de hash de contraseña de Azure Ad Connect
  7. Elija una forma de identificar a los usuarios > Los usuarios están representados solo una vez en todos los directorios;
    anuncio azul de sincronización de hash de contraseña
  8. Puede sincronizar solo un grupo de usuarios con AzureAD (los usuarios deben agregarse directamente a este grupo, los usuarios de los grupos de AD anidados no se sincronizan). Si selecciona el Sincroniza todos los usuarios y dispositivos opción, más tarde puede utilizar la Administrador del servicio de sincronización herramienta para personalizar las particiones del directorio de sincronización (forma parte de la instalación de AzureADConnect);
    hash de contraseña de Azure Ad Connect
  9. Seleccione opciones adicionales. Sincronización de hash de contraseña se selecciona de forma predeterminada. Selecciona el escritura diferida de contraseña opción si desea permitir que sus usuarios restablezcan sus contraseñas de AD locales desde Azure;
    sincronización de hash de contraseña de ad connect
  10. Si desea iniciar una sincronización inmediata, habilite la Inicie el proceso de sincronización tan pronto como se complete la configuración opción (puede tomar una cantidad significativa de tiempo dependiendo del tamaño de su base de datos local de AD).
    hash de contraseña de anuncio azul

Una vez completada la instalación de AzureADConnect, aparece un nuevo Programador de sincronización de Azure AD la tarea aparece en el Programador de tareas.

sincronización de hash de contraseña de Azure Ad

Insinuación. Puede administrar otras configuraciones de sincronización de Azure AD.

Para verificar que las contraseñas estén correctamente sincronizadas con Azure AD, puede usar el cmdlet de PowerShell del módulo AAD Connect:

Import-Module adsync

Invoke-ADSyncDiagnostics -PasswordSync

También debe prestar atención a los eventos ID de evento 611, 657 en el servidor de sincronización. Cuando aparecen, se recomienda forzar la sincronización utilizando el siguiente script de PowerShell:

#$adConnector and $aadConnector are case-sensitive parameters

$adConnector  = “theitbros.com”

$aadConnector = “theitbros.onmicrosoft.com – AAD”

Import-Module adsync

$c = Get-ADSyncConnector -Name $adConnector

$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter “Microsoft.Synchronize.ForceFullPasswordSync”, String, ConnectorGlobal, $null, $null, $null

$p.Value = 1

$c.GlobalParameters.Remove($p.Name)

$c.GlobalParameters.Add($p)

$c = Add-ADSyncConnector -Connector $c

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false

Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Este script de PowerShell inicia una sincronización de contraseña completa con Azure, incluidos los hash de contraseña heredados (NTLM).

Recomendado para ti

Artículos relacionados: